OID’s die worden gebruikt in SAML Assertions kunnen in twee verschillende formaten worden opgenomen:
-
Formaat dat nog mag worden gehanteerd door v3-clients - "urn:IIroot:"<OID voor het betreffende ID-stelsel>":IIext:"<gehanteerde ID binnen dit stelsel>, bijvoorbeeld "urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>
-
Formaat dat dient te worden gehanteerd door FHIR-clients en bij voorkeur ook al wordt gehanteerd door v3-clients - "urn:oid:<OID voor het betreffende ID-stelsel>.<URA>", bijvoorbeeld "urn:oid:2.16.528.1.1007.3.3.<URA>"
In SAML Assertions worden beide formaten ondersteund. In JWT’s wordt slechts het urn:oid formaat ondersteund.
|
Feature |
|
|---|---|
|
Type |
Subfeature |
|
Versie |
2.0.0 |
|
Systeemrolcode |
- |
|
Groep |
Tokens |
|
Gepubliceerd |
|
|
Delta |
Initiële versie van feature. |
AOF.TS.PAT.100.v2
Het PKIo Authenticatietoken is een SAML Assertion en bevat de volgende elementen en attributen:
|
Element/@Attribuut |
Cardinaliteit |
Vaste waarde |
Toelichting |
|---|---|---|---|
|
@ID |
1..1 |
- |
Unieke identificatie van de Assertion |
|
@Version |
1..1 |
"2.0" |
Gebruikte SAML versie |
|
@IssueInstant |
1..1 |
- |
Tijdstip van uitgifte van de Assertion. |
|
Issuer |
1..1 |
- |
AppID van de initiërende GBK-applicatie. Formaat van een applicatie-id:
|
|
Issuer.@Format |
1..1 |
"urn:oasis:names:tc:SAML:2.0:nameid-format:entity" |
|
|
Subject.NameID |
1..1 |
- |
Bevat het serienummer van het certificaat, waarmee de Assertion is ondertekend. Formaat: "urn:cert:issuersn:CN=<common name>;<serienummer>" Zie ook: A Uniform Resource Name (URN) Namespace for Certificates. |
|
Conditions.@NotBefore |
1..1 |
- |
|
|
Conditions.@NotOnOrAfter |
1..1 |
- |
Richtlijn voor het verschil tussen
|
|
Conditions.AudienceRestriction.Audience |
1..n |
- |
|
|
AuthnStatement.@AuthnInstant |
1..1 |
- |
Tijdstip van authenticatie van de gebruiker (Subject). |
|
AuthnStatement.AuthnContext.AuthnContextClassRef |
1..1 |
"urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI" |
|
|
AttributeStatement |
1..1 |
|
Zie onderstaande tabel. |
AOF.TS.PAT.200.v5
In het AttributeStatement zijn de volgende Attributen opgenomen:
|
@Name |
Cardinaliteit |
AttributeValue |
|
|
Vaste waarde |
Toelichting |
||
|---|---|---|---|
|
"patientIdentifier" |
0..1 |
- |
ID van de patient (BSN, hash van BSN of COA nummer). Verplicht bij patiëntgebonden interacties. Anders afwezig. Formaat van een burgerservicenummer:
Formaat van een hash van een burgerservicenummer:
Formaat van een COA nummer:
Let op! De oude naam van dit attribuut was “burgerServiceNummer”. Deze oude attribuutnaam kan voorlopig nog worden gebruikt, en wordt dus nog ondersteund. |
|
“messageIdRoot” |
1..1 |
"2.16.840.1.113883.2.4.3.111.15.4" |
|
|
“messageIdExt” |
1..1 |
- |
De waarde van het requestID dat zal worden meegestuurd in de AORTA-ID HTTP header. |
|
“InteractionId” |
1..1 |
- |
Het interactie-id wordt als volgt samengesteld: "<type FHIR-interactie>:<FHIR-profile>:<majorProfileVersion>" waarbij mogelijke type FHIR-interacties zijn gedefinieerd in de FHIR specificaties. OF "operation:$<operation name>:<majorOperationVersion>" |
|
“contextCodeSystem” |
1..1 |
"2.16.840.1.113883.2.4.3.111.15.1" |
|
|
“contextCode” |
1..1 |
- |
De contextcode die aanduidt binnen welke (zorg)toepassing de FHIR-interactie word geïnitieerd, bijv. "LOG", of "ACT/VWI". |
AOF.TS.PAT.300.v1
De Assertion bevat ook een Signature die is geplaatst met met behulp van de PKIo pas van de GBK-medewerker.
AOF.TS.PAT.400.v1
Met het PKIo Authenticatietoken wordt aan de ontvanger bewezen dat een bepaalde persoon of organisatie instaat voor de authenticiteit van een gegeven bericht.